中間証明書の必要性、証明機関(認証局)の階層化の理由

証明機関は階層構造を取ることができます。ツリー構造的に管理ができ、整理がしやすいためです。フォルダと同じ原理です。3階層や4階層のパターンが多いですが、2階層のパターンは商用ではあまり見られません

なぜでしょうか?

それは運用とセキュリティの観点からです。実際にCAを構築する際の設計をしてみましょう。

顧客への証明書の発行は速やかに実施されるべきです。そのため、発行手続きもある程度簡素化し、オンラインで発行ができるものがよいでしょう

しかしオンラインであるがゆえに、脆弱性を突かれ、証明書の利用が適正に行われない可能性もあり、その際にはその証明書を発行した上位CAの証明書を無効化する必要があります。

このとき、2階層だった場合、「証明書を発行した上位CAの証明書=ルート証明書を無効化」することになりますが、 それを実行した場合、発行した全ての証明書が無効化されてしまいます

この事態を避けるため、間に中間認証局を挟み、3階層にします

ルート認証局はオフラインで構築しておき、別途構築した複数の中間認証局へ、それぞれ中間証明書を発行します。

これでオンラインの中間認証局が1つ攻撃を受けた際、影響を抑えることができます

デジタル証明書についての基礎知識については以下ページも併せてご参照下さい。

【図解】よく分かるデジタル証明書(SSL証明書)の仕組み 〜https通信フロー,発行手順,CSR,自己署名(オレオレ)証明書,ルート証明書,中間証明書の必要性や扱いについて〜
【図解】よく分かるデジタル証明書(SSL証明書)の仕組み 〜https通信フロー,発行手順,CSR,自己署名(オレオレ)証明書,ルート証明書,中間証明書の必要性や扱いについて〜
前提知識 デジタル証明書(電子証明書)の理解のためにはまず公開鍵・秘密鍵につい...

シェアする

  • このエントリーをはてなブックマークに追加

フォローする